Katso webinaarin nauhoite alta

Linkit, joihin webinaarissa viitattiin

Webinaarin kalvosarja

Löytyy täältä.

Kysymykset ja vastaukset

K1:
Eikö ole näin, että asetushan on jo astunut voimaan, ja sitä aletaan soveltaa kahden vuoden siirtymä ajan kuluttua?

V1:
Kyllä. Uusi pakottava laki astui voimaan 28. toukokuuta 2016. Kahden vuoden siirtymäaika. Jolloin yritysten, viranomaisten ja järjestöjen tulee sovittaa toimintansa tämän asetuksen mukaan.

 

K2:
Rekisterin pitäjä, tarkoittaako se käytännössä kaikkia yrityksiä joilla on henkilökuntaa?

V2:
Käytännössä kyllä.

Rekisteri tarkoittaa käytännössä luetteloa oikeudellisista taikka luonnollisista henkilöistä, joilla on yksilöiviä henkilötietoja. Henkilötietoja, jotka muodostavat rekisterin osan, voi olla esim. henkilötiedot, joita tarvitaan palkanmaksua varten. Jos organisaatiolla on tällainen rekisteri olemassa, on se silloin rekisterin pitäjä.

Toki esim. palkanmaksu voidaan ulkoistaa. Jos rekisteri sijaitsee tällöin palveluntarjoajalla, voi rekisterinpitäjän rooli ja velvollisuudet olla kyseisellä toimijalla.

Melkeinpä voisi sanoa, että kaikki yritykset, yhdistykset ja muut organisaatiot siis ovat rekisterin pitäjiä ja niitä koskee rekisterin pitäjän velvollisuudet.

 

K3:
Puhuit 2 vuodesta, että pitää panna asia kuntoon. Onko tämä tulossa johonkin lakiin? Milloin tai mistä alkaen yrityksille nämä velvoitteet käytännössä astuvat voimaan?

V3:
Katso kysymys 1.

 

K4:
”Ilmoitusvelvollisuus henkilötietojen loukkaamisesta.” Kuka on valvontaviranomainen?

V4:
Lisäksi joka maalla on oma valvontaviranomainen, jonka jäsenvaltio nimittää. Sen lisäksi on EU-tasoinen johtava valvontaviranomainen, joka määrittelee sellaisten rekisterinpitäjien toimintaa, joilla on toimintaa useammissa maissa. Euroopan tietosuojaneuvosto voi lisäksi antaa sitovia tulkintoja asetuksen soveltamisesta.

 

K5:
Eikö lähes kaikissa yrityksissä ole henkilötietojärjestelmä, jossa on tiedossa ammattiliiton jäsenyys? (joka luokiteltiin erityisiin tietoryhmiin)

V5:
Kyllä näin hyvin usein on. Kyseessä tosiaan on silloin erityinen tietoryhmä, eli puhutaan arkaluontoisista tiedoista. Silloin tietosuojavastaava pitäisi nimittää. On kiinnostava nähdä, tuleeko tähän liittyen lisäohjeistuksia, jolloin saataisiin tietoa, että onko esim. yhden hengen kukkakaupan nimetä yrittäjä tietosuojavastaavaksi. Kannattaa huomioida, että vain välttämättömät tiedot kannattaa rekistereissä säilyttää.

 

K6:
Eikös henkilöstömäärällä ollut myös merkitystä siihen pitääkö tietosuojavastaava olla?

V6:
Viitattiin Elina Koivumäen blogiin, joka kannattaa lukea. Henkilömäärästä ei kuitenkaan löytynyt pitävästi mainintaa, että sillä olisi varsinaisesti merkitystä tietosuojavastaavan asettamiseen liittyen. Termi laajamittainen, joka liittyy vuodessa yli 5000 käsiteltävää henkilön tietoon, jolloin tietosuojavastaava pitää olla. On olemassa erikseen mikroyrityksiä käsittelevä kohta, johon kuitenkaan ei tässä vaiheessa vielä tarkennusta löytynyt.

 

K7:
Vaatiiko yrityksille tietosuojavastaavan, jos palkkatietojen takia pidetään kirjaa liitonjäsenyydestä (”Jäsenmaksu”), mutta henkilöstöä reilusti alle 500?

V7:
Katso kysymykset 2 ja 6.

 

K8:
Vastuusta suhteessa ulkoisiin palveluntarjoajiin: onko todella niin, että sen voi täysin ulkoistaa palveluntarjoajalle

V8:
Vastuuta ei koskaan voi ulkoistaa, ja vastuu on aina organisaatiolla, joka kutakin rekisteriä kerää/ylläpitää. Esimerkiksi yrityksen palkanlaskenta voi olla ostettu ulkopuolelta, ja silloin palkanlaskentaan tarvittavasta rekisteristä vastaa kyseisen palvelun tarjoaja.

 

K9:
Rekisterin pitäjän määritelmästä vielä – entä kun kyse on b2b-asiakkaiden tiedoista, jotka tarvitaan palvelun tuottamista varten? Tiedoissa on esim. nimi, sähköposti, titteli ja yritys

V9:
Ei ole merkitystä, onko rekisteri b2b- vai b2c-käytössä. Oleellista on se, että kun henkilötiedoista pidetään rekisteriä, jonka voi yhdistää luonnollisin henkilöihin, kyseessä on henkilötietorekisteri.

 

K10:
Käytössä Microsoftin Azure-palvelu. Onko Microsoft rekisterinpitäjä? Koskevatko nämä kuvatut velvoitteet myös Microsoftia ja muita amerikkalaisia firmoja.

V10:
Asetuksessa on säädetty henkilötietojen siirtämisestä EU:n ulkopuoliselle toimijalle. Vastaus itse kysymykseen riippuu siitä, mikä palvelu on kyseessä ja mitä tietoja siellä käsitellään. Microsoft harvemmin on rekisterinpitäjä, koska useimmiten Microsoftin palveluiden käyttäjä kuitenkin itse ylläpitää rekisteriä Microsoftin tarjoamassa ”kapasiteetissa”.  Datan siirtäminen EU-alueen ulkopuolelle kuitenkin hankaloittaa rekisterissä olevan henkilön henkilökohtaisen tietosuojan valvontaa, johon liittyen tietosuoja-asetuksessa on tiukkojakin pykäliä. Tietoja ei saa esimerkiksi luovuttaa EU-alueen ulkopuolelle ilman henkilön lupaa.

 

K11:
Ottaako asetus nyt kantaa siihen missä datan pitää sijaita?

V11:
Tähän kysymykseen ei varmaan tietoa valitettavasti löytynyt. Katso kysymys 10.

 

K12:
Mitä jos data sijaitsee esim. Microsoft Azuressa tai muussa pilvipalvelussa jossa ei ole 100% varmuutta datan sijainnista? Pilvipalvelujen tietoturvatason seuraaminen tai auditointi voi olla myös mahdotonta. Ollaan aika pitkälle palveluntarjoajan dokumentoinnin varassa.

V12:
Katso kysymykset 10 ja 11. Tähän kohtaa ei täysin yksityiskohtaista vastausta ollut vielä saatavilla, mutta varmasti tarkennusta tietosuoja-asetuksen soveltamiseen tältä osin tulee pian saataville.

 

K13:
Ilmeisesti asetus edellyttää että toimittajien ja alihankkijoiden kanssa sovitaan (vielä) nykyistä tarkemmin toimintaperiaatteet

V13:
Asetus itsessään ei välttämättä ota tähän kantaa, mutta toki sen noudattaminen varmasti edellyttää entistä tarkempia prosessien ja toimintatapojen kuvauksia.

 

K14:
Muun muassa tietosuojavaltuutetun myöhemmät kannanotot ja suositukset tulevat ehkä jollain tavalla selkiyttämään käsittelyn laajamittaisuuden käsitettä ja siltä osin tietosuojavastaavan määräämisen tarvetta myös yksityissektorilla?

V14:
Varmastikin näin. Osittain kuitenkin vielä asetuksen soveltamiseen liittyen ei ole täysin aukottomassa tilanteessa. Katso kohta 4. Viranomaisten toimesta saadaan toivottavasti jatkossa tarkempia ohjeita soveltamiseen. Katso kysymus 6.

 

K15:
Onko esimerkiksi laskutusjärjestelmässä olevat yksityisasiakkaan osoitetiedot tämän asetuksen piirissä?

V15:
Henkilötietoja ovat kaikki tunnistettavissa olevia henkilötietoja, kuten henkilön nimi, henkilötunnus, kuva, biometrinen tai geneettinen kuva.

 

K16:
Olemme kaupunkikonserniin kuuluva osakeyhtiö. Riittää siis, että tietosuojavastaava on kaupungilla, eikä meillä sitä erikseen tarvitse olla, vaikka meillä on laajamittaista henkilöjen tietojen säilömistä?

V16:
Konserni voi nimittää vain yhden tietosuojavastaavan samoin kuin yksi tietosuojavastaava voidaan asettaa vastaamaan useampaa viranomais- tai julkishallinnon elintä varten.

 

K17:
Uusiin sopimuksiin kannattaa varmaan yrittää saada jo nyt mukaan viittaus siihen, että 2018/05 tulee noudattaa GDPR:ää. Miten nykyiset voimassa olevat?

V17:
Varmastikin kannattaa, mutta tätä kannattaa tarkemmin kysyä lakipalveluita tarjoavilta yrityksiltä.

 

K18:
Käytämme CRM-palvelua, jonka palvelimet ovat ”jossain”. Onko palveluntarjoaja rekisterivastaava ja mikä on meidän rooli tässä rekisterissä (siis meidän asiakkaista kerätty tieto)

V18
Katso kysymykset 8 ja 10-12.

 

K19:
Erityistä tietoryhmistä taidettiin todeta, että ”yrityksen ydintehtävät muodostuvat käsittelytoimista, …”. Kukkakaupan ydintehtävä ei taida muodostua henkilötietojen käsittelytoimista (vaikka siis siellä tiedoissa olisikin ammattiliiton jäsenyys).

V19:
Tietosuojavastaava täytyy asetuksen mukaan nimittää, kun yksi seuraavista ehdoista toteutuu:

  • Jos tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin (muu kuin tuomioistuin),
  • ydintehtävät muodostuvat käsittelytoimista, jotka edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa laajassa mitassa, tai
  • ydintehtävät muodostuvat käsittelytoimista, jotka kohdistuvat henkilötietojen erityisiin tietoryhmiin, rikostuomioihin tai rikoksia koskeviin tietoihin.

 

K20:
Tilivelvollisuus tarkoittaa, että yrityksessä ollaan tehty tarvittavat organisaatio- ja tekniset toimenpiteet. Onko olemassa listaa mitä nämä toimenpiteet ovat?

V20:
Ei ole vielä, tilivelvollisuus tarkoittaa käytännössä osoittamisvelvollisuutta eli viranomaisille täytyy pystyä osoittamaan tai todistamaan, että asetusta on noudatettu. Tämä on paljon enemmän, kuin vaatimustenmukaisuus eli compliance.

 

K21:
Muodostaako kameravalvonnan tallennin henkilörekisterin (julkisessa tilassa olevat kamerat, esim. rautatieasemalla)?

V21:
Kuva on määritelty henkilötiedoksi, mutta asetuksessa ei toistaiseksi ole otettu tähän tarkemmin kantaa. Tarkentunee, kun soveltamisohjeita tulee myöhemmin lisää.

 

K22:
Jaetusta vastuusta vielä: eikö asiakkaalla ole ”mitään” vastuuta varmistaa, että tietoturvaratkaisut ovat käytössä (vs. SOX, jossa datan omistajalla on kokonaisvastuu)?

V22:
Tämä on nimenomaan asiakkaan, ei palveluntarjoajan, velvollisuus.

 

K23:
Myymme järjestelmää asiakkaillemme, jossa säilytetään arkaluontoista henkilötietoa. Palvelut kuitenkin sijaitsevat kumppanimme konesalissa. Mikä on vastuunjako korvausvelvollisuudessa?

V23: Katso kysymykset 8 ja 10-12. Jos kumppani tarjoaa vain kapasiteettipalveluita ja palvelut ovat asiakkaan eivätkä kumppanin, silloin vastuu on asiakkaalla.

 

K24:
Julkisissa pilvipalveluissa, Google/O365, tarjoaja pitää itsellä oikeuden muuttaa sääntöjään, miten haluaa. Esim. siirtää data EU:n ulkopuolelle. Miten tällaiseen pitäisi reagoida?

V24:
Uuden tietosuoja-asetuksen mukaan rekisterinpitäjien sekä henkilötietojen käsittelijöiden tulee tietää, missä paikassa henkilötietoja käsitellään ja säilytetään. Mahdollisuutta siirtää henkilötietoja Euroopan talousalueen (ETA) ulkopuolelle rajoitetaan uudessa asetuksessa ankarasti.

Pilvipalvelut saattavat mahdollisesti käyttää ETA:n ulkopuolella sijaitsevia palvelimia. Myös pilvipalvelun tietojenkäsittelylaitteisto voi olla EU:n ulkopuolisen palveluntarjoajan hallinnassa. Tällöin henkilötietojen siirron tulee tapahtua tietosuoja-asetuksen tiedonsiirtosääntöjen mukaisesti.

Katso myös kysymykset 10-12.

 

K25:
Mitä ovat tiedot jotka aiheuttavat vastuuta? Jos rekisterissä on nimi, sähköpostiosoite ja puhelinnumero. Onko se ihan yhtä vastuullista pitää tällaista rekistriä, kuin esim. luottotietorekisteriä? Missä raja on?

V25:
Katso kysymykset 2, 5 ja 19.

 

K26:
Onko lopullinen vastuu tietosuojavastaavalla vai firmalla? Eli jos firma ei toteuta tietosuojavastaavan ehdotuksia tilanteen parantamiseksi, niin kumpaa mahdollisesti sakotetaan?

V26:
Vastuu on rekisterinpitäjällä ja/tai henkilötiedon käsittelijällä. Tietosuojavastaava on asetuksen määrittelemä rooli, jonka rekisterinpitäjän ja henkilötiedon käsittelijän on nimettävä edellä määritellyissä tilanteissa. Katso myös kysymys 8.

 

K27:
Onko tietosuojavastaavalla juridista vastuuta henkilönä?

V27:
Tähän ei vielä selvää vastausta ole. Toivottavasti asia tarkentuu, kun asetuksen asianmukaiseen soveltamiseen on otettu kantaa kansallisella ja EU:n tasolla.

 

K28:
Saisiko tämän hallinto-organisaation myös omana Powerpoint-sivuna ?

V28:
Webinaarin kalvosetti löytyy Centeron web-sivuilta ja Docs.com-palvelusta.

 

K29:
Onko tietosuojavastaavalle tulossa samanlaista työsuhdesuojaa kuin esim luottamusmiehillä ?

V29:
Katso kysymys 27.

 

K30:
Eikö viestintävirasto toimi kansallisena valvontaviranomaisena?

V30:
Nykyisin Viestintävirasto on toimivaltainen valvomaan viestinnän välitystietojen käsittelyä ja Oikeusministeriön alainen tietosuojavaltuutetun toimisto valvoo tietosuojaa henkilötietosuojalain osalta.

Jatkosta ei ole vielä tietoa. Oikeusministeriön asettaman, TATTI-työryhmäksi, kutsutun työryhmän toimeksiannon yhtenä osana on selvittää, onko kansallista tietosuojaviranomaista koskevaa kansallista lainsäädäntöä tarpeen tarkistaa ja valmistella ehdotus tarvittavaksi lainsäädännöksi kansallisesta tietosuojaviranomaisesta, sen organisaatiosta, tehtävistä ja toimivaltuuksista.

Katso myös kohta 4.

 

K31:
Miten US-EU Safe Harbor vaikuttaa tähän asetukseen?

V31:
Ei mitenkään, koska se ei ole enää voimassa. EU-tuomioistuin linjasi lokakuussa 2015, että komission päätös Yhdysvaltojen niin sanotusta Safe Harbor -järjestelystä on pätemätön. Tähän liittyen kannattaa lukea Safe Harbor -tiedotteet tietosuojavaltuutetun sivuilta.

 

K32:
Jos käytössä on Microsoftin Azure-AD. Onko Microsoft tuossa tapauksessa henkilörekisterin pitäjä?

V32:
Henkilötietolain (523/99 § 10) mukaan aktiivihakemistoa koskee velvollisuus rekisteriselosteesta, eli rekisterin ylläpitäjän pitää laatia seloste siitä, mitä henkilötietoja rekisterissä on, mihin niitä käytetään ja minne tietoja säännönmukaisesti luovutetaan sekä tietojen suojauksen periaatteet. Aktiivihakemistossa henkilötietojen käsittelyn tarkoitus on tietojärjestelmän käyttäjätunnusten ylläpito ja rekisterin tietosisältö voi olla esim. etu- ja sukunimi, puhelinnumero, tulosalue/yksikkö, sähköpostiosoite, käyttäjätunnus, salasana, työntekijänumero ja ammattinimike.

Azure AD on Microsoftin pilvestä tarjoama aktiivihakemisto, jota Microsoft ylläpitää, eli asiakkaan ei tarvitse esimerkiksi huolehtia uusista päivityksistä. Data on kuitenkin asiakkaan, eikä Microsoft ymmärtääksemme ole missään muodossa tilivelvollinen hakemiston sisältämien henkilötietojen ja niiden käsittelyn vaatimustenmukaisuudesta tietosuoja-asetukseen nähden.

Katso lisäksi kysymykset 8 ja 10-12.

 

K33:
Microsoft on kuitenkin henkilötietojen käsittelijä suhteessa suomalaisiin asiakkaisiin?

V33:
Jos ja kun Microsoft käsittelee EU:n kansalaisten henkilötietoja esim. SaaS-palveluita tarjotessaan niin ihan samat vaatimukset pätevät heihin, kuin muihinkin palveluiden tarjoajiin

 

K34:
Jos henkilötiedot on suojattu riittävällä tasolla mutta syystä tai toisesta tapahtuu tietomurto. Realisoituuko tämä korvausvelvollisuus aina myös tässä tapauksessa?

V34:
Asetuksessa sanotaan kutakuinkin niin, että korvausvelvollisuus on voimassa silloin, jos tietoturvaa ei ole ylläpidetty tai sitä on pidetty yllä huolimattomasti tai piittaamattomasti.

 

K35:
Asetusta ei liene sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn, jos se on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa eikä ole sidoksissa kaupalliseen toimintaan?

V35:
Asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

 

K36:
Mitä tarkoitetaan käyttäjän profiloinnin rajoituksella?

V36:
Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

 

K37:
Tietosuojavastaavan nimitys asetuksen mukaan aina ydintehtävistä. Onko siis yrityksen henkilörekisterin pitäminen ydintehtävä vai miten tätä asetusta tulkitaan? Eli milloin vaaditaan tietoturvavastaava?

V37:
Tätäkin tullaan tarkentamaan, kun asetuksen asianmukaiseen soveltamiseen on otettu kantaa kansallisella ja EU:n tasolla.

 

K38:
Pilvipalveluissa on mahdollista ”resurssilaina”, joka käsittääkseni tarkoittaa sitä, että resurssia otetaan sieltä missä sitä on tarjolla. Miten tilanne jossa pilvipalvelu on ostettu Euroopasta mutta resurssia lainataan vaikka Aasiasta ja tieto käy EU:n ulkopuolella. Pitääkö tallaiset tapaukset ennakoida ja täytyykö näistä raportoida eteenpäin. (En ole varma siitä, että saako pilvipalvelun vuokraaja edes tietää siitä että resurssia on lainattu).

V38:
Katso kysymys 24.

 

K39:
Mitä yksittäinen henkilö voi tehdä, jos organisaatio päättää viedä hänen henkilötietonsa Azure AD:hen ilman hänen suostumustaan? Tuleeko tällaisesta jotain sanktioita organisaatiolle?

V39:
Katso kysymykset 24 ja 32.